Certifications cyber inutiles ou surestimées - Analyse 2026

L'industrie des certifications cybersécurité est massive : CEH, CISSP, OSCP, Security+, CCSP, plusieurs dizaines de GIAC, AWS Security Specialty, des vendor-specific par dizaines. Budget total mondial estimé en milliards d'euros annuellement. Pour un candidat, le risque est de dépenser 3 000 à 10 000 EUR sur des certifications dont l'impact réel sur l'embauche et la carrière sera marginal. Ce guide est une analyse pragmatique et honnête : quelles certifications sont vraiment valorisées par les recruteurs en 2026, lesquelles sont surestimées par le marketing ou l'inertie, comment choisir selon son métier et son niveau, et quand les certifications sont secondaires par rapport à un portfolio ou une expérience réelle.

1. Pourquoi l'industrie des certifs est massive

1.1 Le modèle économique des certifications

Les organismes de certification sont des entreprises commerciales (ou non-profits qui se comportent comme) :

• (ISC)² : émet CISSP, CCSP. Revenus estimés 100+ MUSD/an.
• EC-Council : émet CEH, ECSA, LPT. Marketing agressif.
• CompTIA : Security+, PenTest+, CySA+. Volume massif.
• GIAC (SANS) : série de certifications professionnelles.
• Offensive Security : OSCP, OSEP, OSWE, OSED.
• Vendor-specific : AWS, Microsoft, Google, Cisco, Palo Alto, Fortinet, Checkpoint, CrowdStrike, Splunk.

Leurs incentives : vendre cours + examens + renewal. Pas nécessairement aligné avec "ce qui t'embauchera".

1.2 Les stratégies marketing agressives

• "Faut-il CEH pour le pentest ?" : marketing EC-Council fait croire oui. Réalité : OSCP est la vraie référence.
• "CISSP est la certif la plus demandée" : vrai pour management/GRC, moins pour technique.
• Badges obligatoires dans certains contrats gouvernementaux : créent demande captive.
• Renewal fees : 85-250 USD/an pour maintenir la validité.

1.3 Le biais des recruteurs non-techniques

Beaucoup de recruteurs (surtout RH) filtrent les CV sur mot-clés certifications sans vraie compréhension technique :

• CV avec CEH = "passe le filtre".
• CV avec OSCP = "passe le filtre" aussi mais recruteur ne sait pas qu'OSCP est 10x plus difficile que CEH.

Conséquence : marché partiellement irrationnel qui récompense parfois le bon et parfois le mauvais signal.

1.4 Ce que ce guide veut faire

Aider à dépenser intelligemment :

• Temps : 2-6 mois de prep par certif sérieuse.
• Argent : 300-8000 EUR par certification.
• Énergie : charge mentale énorme pour certaines.

Sans cette lentille, un professionnel peut accumuler 4-5 certifications qui ne changent rien à sa carrière vs 1-2 ciblées qui la transforment.

2. Critères d'évaluation d'une certification

2.1 Les 5 questions honnêtes

Avant d'investir, te poser :

1. Est-ce que les recruteurs pour mon métier la cherchent vraiment (vérifier LinkedIn search + offres) ?
2. Est-ce que la certif teste des compétences réelles (hands-on) ou juste QCM théorique ?
3. Est-ce que son contenu est à jour vs technologies / menaces 2026 ?
4. Quel est le coût vs alternatives (portfolio, CTFs, bootcamp) ?
5. Est-ce que je l'apprends vraiment ou je fais du cramming pour passer ?

Si 3 réponses sur 5 sont négatives, probablement pas la meilleure option.

2.2 Hands-on vs QCM

Distinction majeure. Certifications hands-on (labs réels, exploit, résolution problèmes) forment réellement :

• OSCP : 24h lab exam, rapport à rédiger. Référence pentest.
• OSEP, OSWE, OSED : variantes OffSec avancées.
• GCIH : pratique incidents.
• CRTP, CRTE, CRTO : Red team AD.
• BTL1, BTL2 (Blue Team Labs Online) : pratique SOC.
• CKS (Certified Kubernetes Security Specialist) : hands-on cluster.

Certifications QCM only :

• Security+ : QCM + "performance-based questions" relativement simples.
• CEH : 125 QCM, pratique secondaire (CEH Practical existe).
• CISSP : 100-150 QCM, focus management.
• CCSP : QCM orienté cloud.
• CISM : QCM management.

Les QCM sont plus faciles et plus rapides, mais testent moins les compétences réelles. Les recruteurs techniques le savent.

2.3 Lifetime value vs renewal

• Lifetime (pas de renewal obligé) : OSCP, OSEP, et autres OffSec. Un coût, une valeur permanente.
• Renewal annuel / triennal : CISSP (CPE requis), CEH, Security+, GIAC.
  • Coûts cumulés sur 10 ans peuvent dépasser le coût initial.

2.4 Reconnaissance internationale

Certaines certifs sont globales, d'autres régionales :

• Globales : OSCP, CISSP, CISM, GIAC, AWS Security.
• France-friendly : EBIOS RM, ISO 27001 Lead Implementer.
• US-focused : GIAC, NICCS.

Pour une carrière internationale, prioriser les globales.

3. Les certifications vraiment valorisées en 2026

Certifications qui changent la trajectoire quand ajoutées au profil :

3.1 Pentester / Red Team

OSCP (Offensive Security Certified Professional) : la référence absolue 2026.

• Hands-on : 24h lab exam + rapport.
• Reconnu universellement par recruteurs pentest.
• 1800 EUR + temps (minimum 3-6 mois prep).
• ROI énorme pour pentester junior/mid.

OSEP (Offensive Security Experienced Pentester) : évolution OSCP, AD avancé.

OSWE (Offensive Security Web Expert) : web app pentesting profond.

CRTP / CRTE / CRTO (Altered Security, ex-Pentester Academy) : AD red teaming, très bien cotées.

Burp Suite Certified Practitioner (BSCP) : spécialisé Burp, gratuit, bon signal.

3.2 SOC / Blue Team

BTL1 (Blue Team Level 1, Security Blue Team) : accessible, pratique, très valorisée en entry-level.

BTL2 : progression logique.

GCIH (GIAC Certified Incident Handler) : référence incident response.

GCFA (GIAC Certified Forensic Analyst) : forensics.

GNFA (GIAC Network Forensic Analyst) : network forensics.

Microsoft SC-200 (Security Operations Analyst) : pour environnements Microsoft.

Splunk Core Certified User / Power User / Consultant : si ton SOC utilise Splunk.

3.3 AppSec / DevSecOps

GSSP-JAVA / .NET / Web App (GIAC) : secure coding.

OSWE : pentesting web qui couvre AppSec.

CSSLP ((ISC)²) : secure software lifecycle.

CKS (Certified Kubernetes Security Specialist) : référence K8s security.

AWS Security Specialty : cloud security.

Azure Security Engineer Associate (AZ-500) : cloud Microsoft.

Google Professional Cloud Security Engineer : GCP.

3.4 Cloud Security

AWS Security Specialty : la référence AWS.

Azure Security Engineer Associate (AZ-500) : Microsoft.

Google Professional Cloud Security Engineer : GCP.

CCSP ((ISC)²) : vendor-neutral cloud security.

CCSK (Cloud Security Alliance) : alternative plus accessible.

3.5 Management / GRC / Leadership

CISSP ((ISC)²) : standard management cybersécurité pour 5+ ans d'XP.

CISM (ISACA) : alternative CISSP, orientation management.

CCISO : pour C-level.

ISO 27001 Lead Implementer / Lead Auditor : GRC, audit.

EBIOS RM : méthode française d'analyse risque, reconnue ANSSI.

3.6 Spécialisations techniques avancées

GREM (GIAC Reverse Engineering Malware) : reverse engineering, référence.

GPEN, GWAPT : GIAC pentest.

GSE (GIAC Security Expert) : la "Ph.D" des GIAC, 2-3 ans de préparation typique.

OSEE (Offensive Security Exploitation Expert) : exploit development.

3.7 Résumé - les vraies références par métier

4. Les certifications surestimées

Certifications qui sont trop promues par rapport à leur impact réel.

4.1 CEH (Certified Ethical Hacker) - EC-Council

Controverse la plus connue en cybersécurité.

Le marketing dit : la référence pour devenir pentester.

La réalité :

• QCM principalement : peu de hands-on, surtout théorique.
• Contenu vieilli : souvent en décalage avec pratiques modernes.
• Prix élevé : 950-1200 USD pour examen, plus cours recommandés 2000-3000 EUR.
• Marketing agressif : EC-Council pousse fort, y compris envers les administrations publiques.
• Faible respect communauté : souvent moquée par pentesters seniors.

Comparaison : OSCP est 24h d'hands-on lab. CEH est 125 QCM de 4h. Ordre de magnitude différent.

Verdict : surestimée. Utile si recruteur non-technique filtre sur CEH, sinon privilégier OSCP + CTFs.

Exception : certains contrats gouvernementaux DoD US exigent CEH par policy (8140/8570). Dans ce contexte spécifique, obligatoire.

4.2 Security+ - plafonné après débutant

Le marketing : certification entry-level cyber référence.

La réalité 2026 :

• OK pour premier filtre RH.
• Contenu trop basique pour ajouter valeur sur CV après 1-2 ans d'XP.
• Au-delà, devient "null and void" sur CV senior.

Verdict : valide pour démarrage, surestimée au-delà. Ne pas renouveler indéfiniment. Passer à des certifs plus techniques.

4.3 CISSP - surestimée pour les rôles techniques

Le marketing : "la certification #1 en cybersécurité".

La réalité :

• Excellente pour management / GRC / RSSI.
• Peu utile pour rôle technique (pentester, AppSec, reverse engineer).
• Requiert 5 ans d'XP avant de la passer (endorsement).
• Contenu 8 domaines très larges, peu en profondeur.

Verdict : valide pour management cybersécurité, surestimée pour tech purs. Un pentester senior avec OSCP + OSEP vaut plus qu'un CISSP sans.

4.4 CEH Practical - mieux que CEH mais pas référence

Le marketing : la version pratique de CEH.

La réalité :

• Mieux que CEH traditionnel.
• Reste en-dessous d'OSCP en difficulté et reconnaissance.
• Marketing toujours EC-Council.

Verdict : OK mais pas première priorité. OSCP reste meilleur investissement.

4.5 Vendor-specific non stratégiques

Certifications spécifiques à un vendor (Cisco CCNA Security, Checkpoint CCSA, Fortinet NSE, Palo Alto PCNSE).

Le problème :

• Valides uniquement pour environnements utilisant ce vendor.
• Dévaluent si tu changes de stack.
• Souvent gonflent le CV sans changer les opportunités.

Verdict : utiles ponctuellement (si client / employeur utilise le vendor), surestimées en général. À ne pas cumuler.

Exceptions valides :

• CCIE Security (Cisco) : très senior, prestigieux, rare.
• Splunk Certified : si tu bosses vraiment avec Splunk.

4.6 CompTIA PenTest+ - éclipsé par OSCP

Le marketing : certification pentest CompTIA.

La réalité :

• Trop entry-level pour vrai pentest.
• QCM + quelques scenarios.
• Entre Security+ et OSCP, mais pas reconnu équivalent OSCP.

Verdict : inutile si tu prépares OSCP. Surestimée si proposée comme étape nécessaire.

4.7 ISACA CISA - surestimée hors audit

Le marketing : certification audit IT.

La réalité :

• Excellente pour audit IT spécifiquement (Big 4, consulting).
• Peu valorisée en rôle technique cyber.
• Marketing la pousse comme "polyvalente", c'est un stretch.

Verdict : valide pour audit, surestimée en rôle technique.

4.8 CyberAces (SANS) - marketing vague

Le marketing : introduction à la cyber par SANS.

La réalité :

• Tutoriel en ligne gratuit/cheap.
• Pas une vraie certification reconnue.
• Marketing SANS pour faire entrer dans l'écosystème SANS.

Verdict : utile comme apprentissage, pas une certification valorisable.

4.9 "Microsoft AI-900" et cousins - trop génériques

Certifications fundamentals Microsoft (AI-900, AZ-900, SC-900).

Le positionnement : certifs entry-level pour découverte.

La réalité :

• Très surface, essentiellement marketing Microsoft.
• Peu valorisées par recruteurs tech.
• Utiles uniquement si absolument zéro background (école, stagiaire absolu).

Verdict : ok pour découverte, pas à revendiquer comme "certification" sur CV senior.

4.10 Certifications EC-Council multiples (ECSA, LPT, etc.)

Au-delà de CEH, EC-Council propose ECSA (Licensed Penetration Tester), LPT, CTIA, CND...

Verdict général : écosystème marketing-first, à éviter pour techniciens cyber sérieux. Les équivalents OffSec / SANS / GIAC sont systématiquement préférés.

5. Comparaison CEH vs OSCP - cas d'école

Le débat est constant et révélateur.

5.1 Contenu

CEH :

• 125 QCM, 4 heures.
• Couvre fondamentaux offensifs théoriques.
• Peu d'exploitation réelle.

OSCP :

• 24 heures de lab exam.
• Doit compromis multiples machines.
• Rapport technique à rédiger (48h supplémentaires).
• Couvre recon, enumeration, exploitation, privilege escalation, AD, web apps.

5.2 Préparation

CEH : 4-8 semaines de révision QCM.

OSCP : 3-6 mois d'exercices pratiques intensifs (labs PWK, HTB, Proving Grounds).

5.3 Reconnaissance

CEH :

• Connue par RH non-tech.
• Méprisée par pentesters seniors.
• Plus valorisée gouvernement US (DoD 8140).

OSCP :

• Connue et respectée par pentesters.
• Standard de fait pour pentester junior/mid.
• Bien perçue communauté technique globale.

5.4 ROI carrière

CEH : ouverture de portes limitée, plafonnement rapide.

OSCP : véritable différentiateur. Beaucoup d'offres pentest disent explicitement "OSCP requis ou équivalent".

5.5 Coût

CEH : 1200-2500 EUR (examen + training recommandé).

OSCP : 1800 EUR (lab + exam). Plus de travail, plus de valeur.

5.6 Verdict

Pour tout objectif pentest en 2026 : OSCP > CEH sans ambiguïté, sauf cas spécifique DoD 8140.

6. Ce que les recruteurs regardent vraiment en 2026

6.1 Par ordre d'impact

Basé sur interviews multiples de recruteurs cyber 2024-2026 :

1. Expérience professionnelle (si applicable).
2. Portfolio public (GitHub, CTFs, blog, HTB rank).
3. Certifications hands-on reconnues (OSCP, GCIH, CKS).
4. Entretien technique (vrais skills).
5. Soft skills (communication, curiosité).
6. Certifications théoriques (Security+, CEH, CISSP).
7. Diplôme (master, école d'ingé).
8. Références / réseau.

Remarque : portfolio > certifs théoriques dans la majorité des cas.

6.2 Quand les certifs comptent vraiment

• Filtre RH initial : ATS scanne les CV, les mots-clés certifs aident.
• Metric à cocher contract gov (DoD 8140, autre).
• Crédibilité rapide dans conversations avec clients (consulting).
• Renewal expertise : montre engagement à se maintenir.

6.3 Quand elles comptent peu

• Face à un pentester senior qui évalue technique.
• Red team interne qui veut vrais résultats.
• AppSec où on examine tes bug bounty / CVE.
• Cloud architect où on regarde tes terraform modules.

6.4 Le "signal de cramming"

Voir 3-4 certifs passées en 6 mois sur CV junior = signal rouge. Suggests cramming without depth.

Préférer : certif + période d'application + retour d'XP + autre certif. Cohérent avec évolution de carrière.

7. Stratégies par métier

7.1 Si tu vises pentester

Année 1 :

• Security+ (optionnel, pour filtre RH).
• OSCP (obligatoire pour progression).
• HTB rank (portfolio gratuit).

Année 2-3 :

• OSEP (post-exploitation avancée).
• OSWE (web app avancé) si AppSec.
• CRTP / CRTO si AD focus.
• Bug bounty reports publiques.

Année 4+ :

• OSED (exploit dev).
• OSEE (ultime OffSec).
• Speaking conferences.

7.2 Si tu vises SOC analyst / threat hunter

Année 1 :

• Security+.
• BTL1 (Blue Team Level 1).
• LetsDefend / BTLO completion.

Année 2 :

• BTL2.
• Microsoft SC-200 (si MS env).
• Splunk Core Certified User (si Splunk).
• GCIH (si budget).

Année 3+ :

• GCFA (forensics).
• GNFA (network forensics).
• CTI analyst specialization.

7.3 Si tu vises AppSec / DevSecOps

Année 1 :

• Security+ (entry).
• eWPT ou équivalent web.
• Bug bounty practice.

Année 2-3 :

• OSWE pour AppSec.
• CKS pour DevSecOps.
• AWS Security Specialty ou Azure équivalent.
• CSSLP si orientation management.

7.4 Si tu vises management / CISO

Année 5+ (avec XP terrain) :

• CISSP (standard).
• CISM (alternative management).
• CCSP (cloud management).
• ISO 27001 Lead Implementer (GRC).
• Pour C-level : CCISO.

7.5 Si tu vises cloud security

• AWS Security Specialty ou AZ-500 ou GPCSE selon cloud principal.
• CKS pour Kubernetes.
• CCSP / CCSK pour vendor-neutral.
• Cloud provider certifs de base (Solutions Architect Associate) pour base technique.

8. Alternatives aux certifications

Les certifs ne sont pas la seule voie. Alternatives qui valent souvent plus :

8.1 Portfolio technique

Voir comment construire un portfolio cyber :

• GitHub actif avec projets.
• HackTheBox rank (Pro Hacker, Elite Hacker).
• Bug bounty reports publiques.
• CVE attribuées.
• Blog technique.

Pour recruteurs seniors, un portfolio riche > 3 certifications moyennes.

8.2 Contributions OSS

Maintainership ou contributions significatives à :

• Projets sécurité open source (OWASP, Semgrep, Trivy, Falco, Sigma).
• Outils custom qui gagnent en traction.
• Documentation de qualité.

Visible, auditable, plus rare que certif.

8.3 Conférences / speaking

Accepter un talk à BSides, OWASP chapter, SSTIC signe expertise vérifiée par pairs. Plus rare que certifs.

8.4 Publications techniques

• Articles dans magazines tech (Security Boulevard, DarkReading).
• Papers académiques (pour les très techniques).
• Livre (très high-impact).

8.5 Certifications universitaires (MOOC)

Certains MOOC universitaires (Stanford, MIT, Berkeley) sur cybersecurity/cryptography peuvent signaler fondations solides :

• Coursera Stanford ML / crypto.
• edX MIT 6.858.
• Udacity Cybersecurity nanodegree.

Moins reconnu que certif pro mais signal d'intérêt académique.

8.6 Expérience stages / side projects

2 ans d'XP stage SOC junior + 1 blog technique > 4 certifications théoriques sans pratique. Toujours.

9. Pièges marketing des vendors

9.1 Le pricing premium des bootcamps

Certains bootcamps cyber offrent "certification garantie" à 7000-15000 EUR. Souvent :

• Contenu équivalent à matériel gratuit en ligne.
• "Certification" souvent propriétaire (pas reconnue marché).
• Promesse d'embauche flou.

Alternatives souvent 10x moins chères avec même valeur (OSCP seul coûte 1800 EUR, formation compris).

9.2 Bundles excessifs

"Pack complet 8 certifications pour X EUR" = souvent le diable. 8 certifs non alignées < 2 certifs ciblées.

9.3 Certifications "nouveaux métiers"

Chaque nouveau buzzword a ses nouvelles certifs :

• "AI Security Certified".
• "Quantum Cybersecurity Specialist".
• "Metaverse Security Expert".

Warning : sans adoption industrie large, ces certifs sont marketing pur. Attendre 2-3 ans pour voir ce qui s'installe.

9.4 Renewals obligatoires

CISSP, CISA, CISM, GIAC, Security+ : tous exigent renouvellement via CPE (Continuing Professional Education).

• CISSP : 40 CPE/an minimum + 125 USD/an.
• GIAC : 36 CPE sur 4 ans + $429 renewal fee.
• CEH : 120 credits sur 3 ans + $80 EC-Council Continuing Education fee.

Accumulation sur 10 ans peut atteindre plusieurs milliers d'euros.

Question honnête : est-ce que le renewal vaut l'investissement pour toi ? Parfois oui (CISSP qui porte ta carrière), parfois non (Security+ que tu as depuis 5 ans, passé à plus senior).

9.5 Sponsoring universités / écoles

Certaines formations universitaires ont partenariats avec vendors qui incluent leurs certifs. Attention :

• Bon : expose à certifs pertinentes.
• Mauvais : te forme sur tech vendor-specific plutôt que fondamentaux.

Prioriser écoles qui enseignent principes + laissent libre choix certif à l'élève.

10. Budget intelligent pour certifications

10.1 Budget par niveau de carrière

Junior (0-2 ans) : 1000-2000 EUR pour 1-2 certifs clés.

• Security+ (380 EUR) ou BTL1 (400 EUR).
• OSCP (1800 EUR) si cible pentester.

Mid (3-7 ans) : 2000-5000 EUR sur 3-5 ans pour 2-3 certifs ciblées.

• OSEP ou équivalent.
• Cloud security cert.
• Spécialisation métier (GCIH, CKS, etc.).

Senior (7+ ans) : 3000-10000 EUR cumulés sur carrière.

• CISSP ou CISM.
• Certifications avancées (GSE, OSEE).
• Speaking fees / conferences.

10.2 Faire financer

Par employeur :

• Prime de bienvenue conditionnée formation.
• Plan de formation annuel (souvent 1500-5000 EUR/personne).
• CPF pour salariés France (5000 EUR lifetime typique).
• OPCO pour formations collectives.

Négociation : mentionner le remboursement certifications dans offre initiale ou revue annuelle.

10.3 Gratuites et cheap

Certifications gratuites ou très peu chères :

• Pentester Academy CRTP (249 USD).
• eJPT (eLearnSecurity Junior Penetration Tester) : gratuit avec INE subscription.
• Let's Defend completion : pratique, pas certif formelle mais signal fort.
• TryHackMe / HackTheBox Academy : paths avec modules payants.
• Cisco Networking Academy gratuite.
• Google Cybersecurity Professional Certificate (Coursera, moins de 50 USD/mois).
• AWS / Azure / GCP free tier : apprentissage hands-on gratuit.

10.4 Faut-il absolument passer CISSP ?

Question fréquente.

Oui si :

• Tu vises management cybersécurité / RSSI.
• Gros corporate / gov contracts.
• Tu as 5 ans d'XP et stagnes sans.

Non si :

• Tu es tech pur (pentester, reverse engineer, security engineer).
• Tu as moins de 5 ans d'XP (endorsement impossible anyway).
• Tu préfères rester technique.

Passer CISSP "par défaut" sans stratégie n'apporte pas le ROI escompté.

11. Les certifications émergentes à surveiller

Certifications 2024-2026 qui gagnent en adoption :

11.1 Cloud native

CKS (Certified Kubernetes Security Specialist) : devenu standard pour K8s security.

HashiCorp Certified: Terraform Associate / Vault Associate : infrastructure as code.

11.2 AI / LLM security

Émergent en 2025-2026, encore peu de standard :

• Lakera AI Security (offert par certains bootcamps).
• OWASP AI Security certification (en préparation).

À suivre dans 2-3 ans.

11.3 IoT / OT security

GIAC GICSP (Global Industrial Cyber Security Professional) : OT/SCADA focus.

ICS-CERT : US specific.

11.4 Zero Trust

CCZTSM (Certified Zero Trust Security Manager) : émergent, à valider.

11.5 Privacy

CIPP (Certified Information Privacy Professional) : IAPP, grows avec RGPD/CCPA.

CIPT (Certified Information Privacy Technologist) : technique.

12. Verdict final par grande catégorie

12.1 Certifs vraiment valables pour investir

• OSCP : pentest, incontournable.
• CISSP : management, après 5 ans XP.
• GCIH : incident response technique.
• CKS : Kubernetes security.
• AWS Security Specialty / AZ-500 : cloud.
• BTL1 / BTL2 : blue team entry.
• OSEP / OSWE : pentest avancé.
• GREM : malware analysis.
• CRTO / CRTP : AD red team.
• ISO 27001 Lead Implementer : GRC France.

12.2 Certifs acceptables mais avec réserves

• Security+ : OK entry-level, plafonne.
• CISM : alternative CISSP.
• CCSP / CCSK : cloud vendor-neutral.
• CEH Practical : mieux que CEH standard.
• GIAC divers : excellents mais chers.

12.3 Certifs surestimées à éviter ou déprioriser

• CEH (non-practical) : QCM, marketing > réalité.
• ECSA, LPT EC-Council : marketing.
• CompTIA PenTest+ : insuffisant vs OSCP.
• CyberAces : pas une vraie certif.
• AI-900, AZ-900, SC-900 Microsoft : trop surface.
• Vendor non-stratégique (Checkpoint CCSA, Fortinet NSE basics) : niche.

12.4 Certifs situationnelles

• Splunk / CrowdStrike / Okta : valides si écosystème utilisé.
• CCIE Security (Cisco) : prestigieux mais long ROI.
• Vendor cloud basics (AWS Cloud Practitioner) : entry level utile.

13. Checklist - évaluer une certification avant d'investir

Avant de payer pour une certification, vérifier :

Fit métier

• Alignée avec ton métier cible (1-2 certifs par métier max)
• Recruteurs du métier la citent en offres LinkedIn
• Pairs seniors la respectent (demander via communauté, LinkedIn)

Qualité contenu

• Hands-on vs QCM only (privilégier hands-on)
• Contenu à jour (max 2 ans depuis dernière révision)
• Labs accessibles et représentatifs de la réalité

Reconnaissance

• Global vs régional (préférer global)
• Communauté active (Reddit, Discord, forums)
• Pas controversée négativement (éviter CEH sans DoD context)

Coût total

• Prix examen (+ exam fee + training + renewal)
• Temps investissement (3-6 mois minimum pour sérieuses)
• Coûts cachés (retake fees typique)

Alternatives

• Est-ce qu'un portfolio / CTF / contribution OSS ne serait pas aussi valorisé ?
• Faisable via MOOC + certif moins chère ?

Financement

• Employeur peut-il rembourser ?
• CPF utilisable (France) ?
• Prix effectif après remise / bundle raisonnable ?

ROI attendu

• Quelle progression carrière / salaire attendue ?
• Combien d'offres actuelles exigent cette certification ?
• Est-ce que mon réseau la valorise ?

Si 3+ points sont négatifs, probablement pas la meilleure option.

14. Verdict et posture Zeroday

Les certifications cybersécurité sont une industrie utile mais biaisée. Certaines (OSCP, CISSP mature, GCIH, CKS) transforment réellement une carrière. D'autres (CEH non-practical, ECSA, vendor non-stratégiques) sont surestimées par marketing ou inertie.

Pour un junior : choisir 1-2 certifs ciblées (Security+ ou BTL1 + OSCP si pentest) + investir majoritairement en portfolio et pratique. Ne pas accumuler.

Pour un mid : spécialiser avec certifs métier (OSEP, GCIH, CKS) + construire thought leadership.

Pour un senior : CISSP ou CISM si management, sinon rester focus technique avec certifs avancées (GSE, OSEE) + speaking / publications.

Pour tous : se souvenir que les certifs sont un signal, pas un skill. L'entretien technique et le portfolio déterminent l'embauche finale. Une certif sans les skills derrière se repère en 15 minutes de conversation technique.

Le budget intelligent : 3-5000 EUR sur 3-5 ans en certifs ciblées > 10000 EUR en certif-collectionnisme.

Pour approfondir : comment faire un LinkedIn en cybersécurité pour positionner les certifs dans ton profil visible, comment construire un portfolio cyber pour l'alternative qui pèse souvent plus que les certifs, comment décrocher une première mission cyber pour comprendre ce que les recruteurs cherchent vraiment, métiers cybersécurité guide complet pour cibler ton métier, roadmap cybersécurité pour débutant pour le parcours apprentissage complet.